Hackernews 编译,转载请注明出处:
两名安全研究人员针对网络罪犯建立了一个蜜罐,对网络攻击进行了三年的追踪,得到了超过2万次的会话。他们描述了黑客的5个主要类别。
蜜罐揭示了黑客如何安装恶意软件、挖掘加密货币、滥用服务器进行DDoS攻击以及实施欺诈活动。
根据GoSecure发布的报告,两名研究人员、一名工程师和一名犯罪数据科学家收集了超过1.9亿次事件、100小时的视频片段和470个攻击者使用的文件,所有这些都来自20,000个远程桌面协议(RDP)连接捕获。以上种种都是在三年观察期内发生的。
RDP是网络罪犯(包括勒索软件组织)使用的关键攻击媒介。
为了研究网络攻击,研究人员创建了一个开源的RDP拦截工具。这个名为PyRDP的工具具有“无与伦比的屏幕、键盘、鼠标、剪贴板和文件收集功能”。
他们利用收集到的数据将机会主义攻击者分成不同的组。描述不同类型的攻击者可以让我们集中注意,了解最流行的操作方式和更复杂的威胁。
“报告展示了RDP的巨大能力,不仅有利于研究,也有利于执法部门和蓝队的作业。执法部门可以合法地拦截勒索软件组织使用的RDP环境,并在记录会话中收集情报,以供调查使用。”研究人员写道。
另一方面,网络安全防御团队可以使用妥协指标(表明潜在安全漏洞或恶意活动的证据)来进一步保护他们的组织。蜜罐不仅提供了对各种攻击者的间谍技术的看法,也可能放慢他们的脚步,吓唬他们改变策略。这将影响对其行为的成本效益分析,从而使每个人都受益。
研究人员承诺:“在接下来的几个月里,我们将在攻击者的武器博客系列文章中详细介绍不同黑客使用的工具。”
为了描述五种类型的攻击者,他们使用了流行游戏《龙与地下城》中的类别:
- 骑兵:探索所有计算机文件夹、检查网络和主机性能特征,并通过单击或程序/脚本来运行侦察。游骑兵不采取其他有意义的行动。研究人员写道:“我们的假设是,他们正在评估他们所攻击的系统,以便攻击者的另一个配置文件稍后返回运行。”
- 盗贼:将获得的RDP通道货币化。在控制计算机之后,他们更改凭据并执行不同的活动来实施访问权。为了获得一些有价值的东西,盗贼们使用诸如traffmonetizer(代理软件)、货币化浏览器(参与付费冲浪计划)、加密矿工,Android模拟器(移动欺诈)等工具。
- 野蛮人:使用大量的工具来暴力入侵更多的计算机。对他们来说,一个被破坏的系统是破坏其他系统的工具。它们处理IP地址、用户名和密码的列表。
- 巫师:这类攻击者关心他们的操作安全。巫师使用RDP访问作为门户,连接到以类似方式受损的另一台计算机。他们跳过被入侵的主机来隐藏自己的身份。“为了做到这一点,他们会小心翼翼地生活在系统中,展示了高水平的技能。监控和洞悉这些攻击者的行动对于威胁情报收集至关重要。这使得防御者和研究人员能够深入到受损的基础设施中。”
- 游吟诗人:缺乏明显的黑客技能并不能阻止那些想成为黑客的人。游吟诗人利用受损系统来完成一些基本的任务,比如通过简单的谷歌搜索寻找病毒或观看色情内容。
“证据显示,他们可能从破坏系统的人那里购买了RDP访问权限,也就是初始访问代理(IABs)。”
消息来源:cybernews,译者:Linn;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文